近日,WizCase安全团队在扫描FBS服务器时发现严重数据泄露,数百万条机密记录,包括用户名、账户密码、邮箱地址、护照号码等信息、信用卡和交易数据可能会落入坏人之手。背景外汇是外币(foreigncurrency)和汇兑(exchange)的复合词。指用一种货币兑换另一种货币的交易过程。交易的原因多种多样,包括金融、商业、贸易和旅游。外汇市场日均交易量超过5万亿美元。外汇交易主要由银行和全球金融服务主导,但得益于互联网,普通人现在可以直接参与外汇、证券和商品交易。在网上交易的热潮中,用户产生的数万亿字节的机密数据也被委托给外汇交易平台。由于金融交易是外汇交易的核心,这些交易数据库中保存的用户数据的高度敏感性也使在线交易网站成为网络犯罪分子有利可图的目标。FBS,国际在线外汇交易平台,成立于2009年,在全球190个国家拥有超过40万合作伙伴和1600万交易员。是全球核心的外汇交易平台之一。截至2021年1月,FBS应用程序在GooglePlay商店的下载量已超过一百万次。FBS拥有大量用户,用户每20秒提交一次提现请求,也产生了庞大的交易数据。然而,与此相对应的是一个不安全的ElasticSearch服务器。在调查过程中,研究人员发现FBS服务器是开放的,没有任何密码保护或加密,任何人都可以访问FBS信息。泄露了什么?近20TB数据泄露,涵盖160亿条记录,影响全球数百万FBS用户。泄露的信息包括以下内容。用户基本信息:名字和姓氏电子邮件地址电话号码帐单地址国家时区IP地址坐标护照号码移动设备型号操作系统发送到FBS用户的电子邮件社交媒体ID,包括GoogleID和FacebookID用户上传的文件用于验证,包括个人照片、身份证、驾照、出生证明、银行对账单、水电费账单和未编辑的信用卡用户详细信息:FBS用户IDFBS帐户创建日期base64编码未加密密码密码重置链接日志历史忠诚度数据包括忠诚度级别、级别积分、奖励积分、累计存款、活跃天数、活跃客户、累计积分和消费积分、财务数据:用户交易信息包括入金金额、币种、支付系统、交易id、账户id、交易日期、入金次数、上次入金金额、上次入金日期、总存款、信贷、余额、上个月余额、利率、税收、权益和免费保证金。单独来看,每个数据集都可以为攻击者提供有价值的信息,而所有数据集加在一起会使用户面临的风险更大。图1.用户上传的护照和信用卡照片图2.德国用户的账户信息图3.澳大利亚用户的账户信息图4.明文(base64)密码图5.500,000美元的交易明细什么是这对FBS及其用户意味着什么?FBS及其用户面临的主要威胁包括:1.身份盗窃和诈骗通过姓名、电子邮件地址、实体地址、护照号码、驾照号码、国民身份证号码,公开可用于跨其他平台进行欺诈性身份验证的个人身份信息、电话号码、社交媒体ID、信用卡、照片、财务记录等可以让犯罪分子冒充受害者。2.诈骗、网络钓鱼和恶意软件泄露的联系方式可能被用来对FBS用户发起诈骗、网络钓鱼和恶意软件攻击。有了这些敏感、真实的数据,网络犯罪分子在通过电话或电子邮件索取信息时听起来会更可信。3.信用卡诈骗为了完成信用卡支付,FBS要求用户上传信用卡/借记卡双面照片。有了这些图片,不法分子利用这些信息进行信用卡诈骗就不难了。4.勒索通过访问电子邮件地址、实际地址、社交媒体ID和财务记录,犯罪分子可以针对转移了相对大量资金的用户进行勒索。5.人身安全由于网络犯罪分子可以获取用户在FBS上的金融交易信息,交易细节可能让犯罪分子了解用户的财务状况。再加上实际地址和电话号码的泄露,用户或家人可能成为犯罪目标。6.商业间谍犯罪分子可以提取FBS用户的电子邮件地址和电话号码,并利用这些信息将用户吸引到他们自己的在线交易平台。用于定位和吸引用户到他们自己的在线交易平台。网站结构的源代码和信息被盗也让第三方更容易克隆FBS网站,然后根据他们的需要进行小幅调整。7.帐户接管泄漏暴露密码重置链接。通过访问此类敏感信息,只要知道用户的电子邮件地址,攻击者就可以轻松接管任何FBS用户的帐户。此外,拥有纯文本密码(以base64编码),并且知道许多人会跨平台重复使用密码,网络犯罪分子可以尝试在其他平台上使用该密码并接管。以上并未涵盖用户和组织因FBS漏洞所面临的所有风险。研究人员发现并告知FBS后,FBS已添加相应的反制措施,确保服务器安全。本文翻译自:https://securityaffairs.co/wordpress/115925/data-breach/fbs-data-breach.html
